1、 1 印月 95 2 月 本標準非經本局同意得翻印 中華民國國家標準 CNS 總號 號 ICS 35.040 X6046-514929-5 經濟部標準檢驗局印 公布日期 修訂公布日期 95 2 月 27 日 月日 (共 25 頁 )資訊技術資訊技術安全管理指導綱要第 5 部 : 網路安全管理指引 Information technology Guidelines for the management of IT security Part 5: Management guidance on network security 目 節次 頁次 導 . 3 1. 適用範圍 . 3 2. 考標準 .
2、3 3. 用語釋義 . 4 4. 縮寫 4 5. 結構 4 6. 目標 4 7. 概觀 4 7.1 背景 . 4 7.2 別過程 5 8. 審查整體 IT 安全政策需求 6 9. 審查網架構與應用程式 . 7 9.1 導 . 7 9.2 網型式 7 9.3 網協定 7 9.4 網應用程式 . 8 9.5 其他考 8 10. 別網接型式 8 11. 審查佈網特性與相關之信賴關係 . 10 11.1 網特性 10 11.2 信賴關係 10 12. 決定安全風險之型式 11 13. 別適當之潛在保護措施區域 . 15 13.1 導 . 15 13.2 安全服務管 . 16 13.2.1 導 . 16
3、 13.2.2 安全操作程序 . 16 2 CNS 14929-5, X 6046-5 13.2.3 安全遵循性檢查 16 13.2.4 接之安全條件 17 13.2.5 網服務使用者之文件化安全條件 . 17 13.2.6 事故處置 17 13.3 別與鑑別 . 17 13.3.1 導 . 17 13.3.2 遠端登入 17 13.3.3 鑑別增強 18 13.3.4 遠端系統別 . 18 13.3.5 安全單一簽入 . 18 13.4 稽核存底 (audit trail) 19 13.5 入侵偵測 19 13.6 針對意程式碼 (malicious code)之保護 20 13.7 網安全
4、管 . 20 13.8 安全閘道 20 13.9 網資機密性 21 13.10 網資完整性 21 13.11 可否認性 . 21 13.12 虛擬私有網 22 13.13 營運持續性 /災難原 22 14. 文件化與審查安全架構選項 23 15. 保護措施之選擇、設計、實作及維護的分配準備 . 23 16. 彙總 23 英中名詞對照表 24 3 CNS 14929-5, X 6046-5 導 本標準之目的為提供資訊技術 (Information Technology, IT)安全管方面的指引,並非提供解決方案。組織內負責 IT 安全的相關人員,可調適本標準的內容以符合其特定的需要。本標準的主要
5、目標是: (1) 定義及描述與 IT 安全管有關的概。 (2) 別 IT 安全管與一般 IT 管之間的關係。 (3) 呈現一些可以被使用於解釋 IT 安全的模型。 (4) 提供 IT 安全管的一般指引。 本系標準分為 5 部。第 1 部提供基本概之概觀與使用於描述 IT 安全管的模型。該部適合負責 IT 安全之管者與負責組織整個安全計畫的人員。 第 2 部描述管與規劃方面 。該部是與負責關於組織之 IT 系統的管者有關。包含: (1) 負責監督 IT 系統的設計、實作、測試、採購、或操作的 IT 管者。 (2) 負責 IT 系統之實際使用活動的管者。 第 3 部描述於專案生命週期中之涉及管活動
6、的安全技術,如:規劃、設計、實作、測試、獲取或操作。 第 4 部提供保護措施之選擇的指引,且如何藉由基準模型與控制措施的使用以支援這些指引。其也描述如何補充在第 3 部所描述的安全技術,與如何使用額外的評鑑方法於保護措施的選擇。 第 5 部針對負責管 IT 安全的人員,提供關於網與通訊的指引。本標準支援建網安全需求時,必須考的通訊相關要素的別與分析。它也包含對 可能的保護措施區域之簡短的導。 1. 適用範圍 本標準針對負責管 IT 安全的人員,提供關於網與通訊的指引。本標準支援建網安全需求時,必須考的通訊相關要素之別與分析。 本標準以此系標準的第 4 部為基礎,提供如何別適當地保護措施區域的導
7、,保護措施區域是指關於接至通訊網的安全而言。 技術保護措施區域的細部設計與實作建議並在本標準的範疇中。 2. 考標準 CNS 13204 資訊處系統開放系統互基本考模式 CNS 14510 (全系 ) 資訊技術安全技術可否認性 CNS 14929-1 資訊技術資訊技術安全管指導綱要第部:資訊技術安全概與模型 CNS 14929-2 資訊技術資訊技術安全管指導綱要第部:資訊技術安全管與規劃 CNS 14929-3 資訊技術資訊技術安全管指導綱要第部:資訊技術安全管之技術 CNS 14929-4 資訊技術資訊技術安全管指導綱要第部:保護措施之選擇 CNS 14992 資訊技術安全技術資訊技術入侵偵
8、測框架 4 CNS 14929-5, X 6046-5 ISO/IEC TR 14516, Information technology Guidelines for the use and management of Trusted Third Party services 3. 用語釋義 本標準使用本系標準第 1 部之用語釋義為:可歸責性 (accountability)、資產(asset) 、鑑別性 (authenticity) 、可用性 (availibility) 、基準控制措施 (baseline controls)、機密性 (confidentiality)、資完整性 (data
9、 integrity)、衝擊 (impact)、完整性、 IT 安全、 IT 安全政策、可否認性 (non-repudiation)、可靠性 (reliability)、風險 (risk)、風險分析、風險管、保護措施 (safeguard)、威脅 (treat)、脆弱性(vulnerability)。 4. 縮寫 EDI (Electronic Data Interchange)電子資交換 IP (Internet Protocol)網際網協定 IT (Information Technology)資訊技術 PC (Personal Computer)個人電腦 PIN (Personal Id
10、entification Number)個人別碼 SecOPs (Security Operating Procedures)安全操作程序 TR (Technical Report)技術報告 5. 結構 本標準所採取的方式為:先概述建網安全需求時,所宜考慮通訊 相關要素之別及分析的整個過程,然後提供潛在的保護措施區 域之指示 (在實這些指示時,可能要使用本系標準其他部標準的相關內容 )。 本標準描述三個簡的準則,以協助負責 IT 安全的人員能別潛在之保護措施區域。這些準則別 (1)同的網接型式; (2)同的佈網特性與相關之信任關係; (3)關於網接之安全 風險的潛在型式 (與藉由這些接所提供之
11、服務的使用 )。結合這些準則的結果,指出潛在保護措施區域。接著,提供潛在保護措施區域的概要入門描述,及指示多細節之出處。 6. 目標 本標準的目標是提供建網安全需求時,宜考通訊相關要素之 別與分析的指引,同時並提供潛在保護措施區域的指示。 7. 概觀 7.1 背景 政府與商業組織高地依賴資訊之使用以從事其營運活動,當失資訊與服務的機密性、完整性、可用性、可否認性、可歸責性、鑑別性、可靠性,對組織之營運運作會有的衝擊。因此,保護資訊及管組織內之 IT 系統的安全是迫需要的。 由於許多組織的 IT 系統是經由網彼此接,故現時環境中此迫保護資訊亦顯特別重要。這些接網可能是在組織內、在同的組織間、有時
12、是在組織與大眾間。政府與商業組織皆需全球化的經營營運,因此其依靠所有型 5 CNS 14929-5, X 6046-5 式的通訊,是已電腦化的或其他傳統方法。其網需求必須能被滿足,網安全正日漸扮演重要的角色。 第 7.2 節概述建網安全需求時,宜考通訊相關因素之別及分析的建議過程,並提供潛在保護措施區域的指示。以下章節將提供這些過程進一步的細節。 7.2 別過程 當考慮網接時,所有組織中負責有關網接的人都宜明瞭營運需求與益。除此之外,他們及網接中的其他所有使用者,宜知道對於這種網接的安全風險及相關保護措施區域。營運需求及益可能會影響考網接、別潛在保護措施區域,以及最後選擇、設計、實作及維護安全
13、保護措施過程中所採取的決定與動作。因此,整個過程中需要記這些營運需求與益。為別適當的網相關安全需求及保護措施區域,將需要完成以下的任務: (1) 審查網接之一般安全需求是否如同組織的整體 IT 安全政策 (照第 8 節 )。 (2) 審查關於網結的網架構及應用程式,以提供所需之背景以從事後續的任務 (照第 9 節 )。 (3) 別宜考之網接型式 (照第 10 節 )。 (4) 審查提議之佈網的特性 (藉由網與應用程式架構上可用的資訊提供必要的協助 ),以及相關的信賴關係 (照第 11 節 )。 (5) 可藉由風險分析與管審查結果,包括經由接傳送之資訊上營運操作價值的考,以及經由這些接以非授權方
14、式潛在存取的任何其他資訊 (照第 12 節 ),決定安全風險的相關型式。 (6) 別潛在保護措施區域的考,以網接型式、佈網特性及相關信任關係,以及安全風險型式 為基礎,可以適當地決定潛在保護措施區域 (照第 13 節 )。 (7) 文件化與審查安全架構選項 (照第 14 節 )。 (8) 使用已別之潛在保護措施區域考及已同意之安全架構 (照第 15 節 ),準備對細部的保護措施做出選擇、設計、實作及維護任務之分配。 宜注意的是本系標準第 4 部包含對於保護措施別的一般建議。本標準補充第 4 部,並且提供如何別適當保護措施區域的導,保護措施區域是關於接至通訊網的安全。 圖 1 明建網安全需求時,
15、宜考通訊相關要素之別及分析的整個過程,並且提供潛在保護措施區域的指示。在圖之後的章節中會有進一步詳細地描述每個步驟的過程。 6 CNS 14929-5, X 6046-5 圖 1 網安全需求建之通訊相關因素的別與分析過程 保護措施選擇、設計等分配準備(第 15節 )審查整體 IT安全政策(第 8節 )審查網架構與應用程式(第 9節 )別網接型式(第 10節 )審查佈網特性與信賴關係(第 11節 )決定安全風險之型式(第 12節 )別適當之潛在保護措施區域(第 13節 )文件化與審查安全架構選項(第 14節 )審查安全風險分析與管結果(本系標準 第 3、 4部及第 12節 )應注意的是在圖 1
16、中,實線表示過程的主要徑,而虛線表示經由安全風險分析與管審查結果的協助,可以決定的安全風險型式。 除過程的主要徑之外,在特定的步驟中,將需要再檢視之前步驟的結果以確保一致性,特別是審查整體 IT 安全政策與審查網架構與應用程式步驟。如: (1) 在已經決定安全風險型式之後,因為已經發生某些事情,而事實上該政策等級未包含在內,所以可能需要審查整體 IT 安全政策。 (2) 在別之潛在保護措施區域中,宜考整體 IT 安全政策,如,因為其可能規定必須無關風險,但實作跨組織的特別保護措施。 (3) 在審查安全架構選項時,為確保相容性,將需要考網架構與應用程式。 8. 審查整體 IT 安全政策需求 組織
17、的整體 IT 安全政策可能包含機密性、完整性、可用性、可否認性、可歸責性、鑑別性、可靠性之需要的聲明,及威脅型式及保護措施需求的觀 點,這些觀點直接與網接相關。 如,這樣的政策可能陳述: (1) 特定型式之資訊或服務的可用性是主要考。 (2) 允許經由撥接線的接。 (3) 所有對網際網的接必須經由安全閘道 (gateway)。 (4) 必須使用特別型式的安全閘道。 (5) 沒有位簽章的支付指是無效的。 必須考慮這些適用於全體組織的聲明、觀點及需求,決定安全風險型式 (照第 12節 )及網接的潛在保護措施區域之別 (照第 13 節 )。如果有任何這樣的安全需求時,則將收這些在潛在保護措施區域的草
18、稿表中,及必須反 應在安全架 7 CNS 14929-5, X 6046-5 構選項中。在本系標準第 2 部及第 3 部提供組織內致於 IT 安全之整體 IT 安全政策文件場的指引,以及內容與其他安全文件製作之關係的指引。 9. 審查網架構與應用程式 9.1 導 潛在保護措施區域之確認過程中的步驟,即以下項目的別: (1) 將使用的網接型式。 (2) 佈網特性與涉及包含的信賴關係。 (3) 安全風險型式。 以及事實上,潛在保護措施區域表的發展 (與之後對於保全特殊接的相關設計 )宜已經在存在或規劃之網架構及應用程式的全景實。 因此宜包含並審查相關的網架構與應用程式的細節,以提供遵循過程步驟的必
19、要解與全景。 經由闡明這些最早期可能階段的觀點,別相關安全需求之別準則、別潛在保護措施區域及細緻化安全架構等的過程,將有效並且最終產生可施的安全解決方案 (照以下第 9.2 節至第 9.5 節 )。 同時,考慮在早期階段的網與應用程式架構觀點中,如果可接受的安全解決方案,能夠在目前的架構中實施,則時間上允許對於那些架構再次審查與可能的修正。 在網架構與應用程式下需要考慮之同區域包含: (1) 網型式。 (2) 網協定。 (3) 網應用程式。 針對每一個區域,審查的某些議題將於第 9.2 節至第 9.4 節討,其他考將在第 9.5 節中介紹。 (網與應用程式架構的一般指引閱 CNS 13204。
20、 ) 9.2 網型式 依所涵蓋之區域,網可分為: (1) 區域網 (LAN),其使用於區域性互系統。 (2) 都會區域網 (MAN),其使用於都會範圍的互系統。 (3) 廣域網 (WAN),其使用於 比都會區域網範圍大的互系統,直到可涵蓋全世界。 9.3 網協定 同的協定擁有同的安全特性並且需要特別的考。如: (1) 共享媒體協定主要使用於 LAN (有時使用於 MAN),提供在接系統中共享媒體使用的管制機制。使用共享媒體時,所有接的系統可存取網上所有的資訊。 (2) 使用由協定定義資訊在 MAN 及 WAN 中經由同節點的由,所有沿著由的系統都可實體存取資訊,而且可能無意或蓄意地變由。 8
21、CNS 14929-5, X 6046-5 協定可能使用在同的網撲,如匯排撲、環撲及星撲,無以無線或非無線科技實作,對於安全都有深邃的影響。 9.4 網應用程式 在安全的全景中,需要考慮網上所使用的應用程式型式,型式能包含 : (1) 終端模擬基礎的應用程式。 (2) 存轉 (store and forward)或排存器 (spooler)基礎的應用程式。 (3) 客戶與伺服器 (client server)應用程式。 9.5 其他考 當審查網架構與應用程式時,也宜考在組織中,接至組織或由組織接的現存網接,以及提議接的網。組織現存的接可能限制或妨礙新的接,如因為協議或合約。其他網接要求之存在,
22、可能導入額外的脆弱性與較高的風險,也可能保證較強及 /或額外的保護措施。 10. 別網接型式 有許多同屬網接之型式是組織可能希望使用的。這些接型式中的某些是藉由私有網 (private network)(限制由已知的社群存取 )完成,而某些可能藉由公眾網 (public network)(指任何組織或個人都可存取的 )。 再者,這些網接型式可被使用於多樣化的服務,如:電子郵件、電子資交換 (EDI),並且可能涉及網際網的使用、企業網或外部網設施,每個有同的安全考。各個接型式可能擁有同的脆弱性及相關的安全風險,因此最終需要一組同的保護措施。 表 1 顯示同屬網接 (從事營運有可能需要 )型式的一
23、個分方法,對每種型式顯示描述範。 考慮到相關網架構與應用程式 (照第 9 節 ),宜從表 1 中選擇適當之一個或多個的型式,作為正在考慮中的網接。 宜注意的是本標準描述同屬網型式係由營運觀點組織與分,而是由技術觀點。這意謂個同的網接型式有時可能會以一個相似的技術方式實作,並且在某些案中保護措施可能是似的,但是在其他情形中保護措施將會是同的。 9 CNS 14929-5, X 6046-5 表 1 網接型式 節 網接型式 描述範 10.1 組織中單一控制的位置內接。 在相同的控制位置內,同一組織中同部分的互,即單一控制的大或地點。 10.2 同一組織中地上相位置之接。 單一組織內區域辦公室 (
24、及 /或區域辦公室與總部 ) 之間跨廣域網的互。在此型式的網接,大部分的情形如果是所有的使用者都能經由網存取至可用的 IT系統,但也是所有在組織中的使用者都具有存取至所有的應用程式及資訊的授權( 即每個使用者的存取僅依照授與的特權 )。 從組織另一個地區存取的型式可以為遠端維護的目的。可能指定多的存取特權給此型式的使用者及接。 10.3 組織地點及工作位置遠組織之員工間的接。 員工之移動資終端機的使用 ( 如銷售員由客戶地點查證存貨的可用性 ),或,在家或其他遠端地點工作的員工,未鏈結至組織所維護的網,遠端鏈結至組織計算系統的建。在此型式的網接中,授權使用者成為其局部系統之系統使用者。 10.
25、4 在封閉社群中同組織之間的接,如因為合約或其他法約束情況,或因為相似的營運益,如銀業或保險業。 個或多組織間的互,這些組織中有需要幫助彼此組織之電子交的營運 ( 如在銀間的電子轉帳 )。此網接型式似於上面第10.2節所提到的型式,除接的地點是歸屬於個或多的組織,並且此接打算提供所有與的組織使用存取全部的應用範圍。 10.5 與其他組織接。 存取其他組織所擁有的遠端資庫 ( 如通過服務供應者 ) 。在此網接的型式中,那些要被存取資訊之外部組織會事先個別授權所有的使用者,包含那些接的組織。然而,雖然事先授權所有的使用者,但是除有關於他們購買所提供服務的能 , 可能沒有篩選潛在的使用者。可能存取組
26、織系統上的應用,其中系統儲存與處可能從外部組織中提供 10 CNS 14929-5, X 6046-5 給使用者的組織資訊。在此環境中,將知道與授權外部使用者。從另外一個組織存取的一種型式,其目的可為遠端維護。可指定多特權給這種型式的使用者與結。 10.6 與一般公眾域接。 存取公眾資庫、網站、及 /或電子郵件設施 ( 如經由網際網 ) 可由組織的使用者所啟動,這些存取的啟動是基於人們及 / 或網站之資訊檢或資訊寄送為目的,而組織並沒有特定的事先授權這些人們或網站。在此型式的接中,組織的使用者以組織 ( 甚至是私人 ) 為目的,用此工具,然而,該組織可能會小控制此型式資訊傳輸。存取可由外部使用
27、者 ( 如經由網際網 )對組織的設施啟動。在此型式的網接中,個別外部使用者並未獲得組織的特定事先授權。 11. 審查佈網特性與相關之信賴關係 11.1 網特性 宜審查現存或提議的網特性。這對於別網為下何者是特別重要的: (1) 公眾網任何人可存取的網。 (2) 私有網自有或租用專線所組成的網,因此被視為比公眾網為安全。 瞭解由網傳送的資型式也很重要,如: (1) 資網主要轉送資並且使用資協定的網。 (2) 語音網原用於電話但亦可用於資的網。 (3) 同時包括資與語音的網。 其他資訊,如無該網是分封或交換網,也有密關係。 再者,宜瞭解無網接是永久性或需要時才建。 11.2 信賴關係 一旦已別現存
28、或提議的佈網特性,而且起碼已建公眾或私有網 (照第 11.1 節 ),則宜別相關的信賴關係。 首先,宜使用表 2 中的簡矩陣別關於網接的適用信賴環境。 11 CNS 14929-5, X 6046-5 表 2 信賴環境的描述 信賴環境 描述 低 有明使用者社群之網 中 已知使用者社群且於封閉性營運社群 (屬於一個以上組織 )中之網 高 已知使用者社群且單獨於該組織內之網 其次,相關之信賴環境 (從低、中及高 )宜結合適用之網特性 (公眾或私有 )及涵蓋的網接型式 (從第 10.1 節至第 10.6 節 ),以建信賴關係。能夠使用表 3 完成信賴關係的建。 表 3 信賴關係的別 信賴環境網接型式
29、 (照第 10節 ) 低 中 高 公眾 10.6 10.4 10.5 10.2 10.3 私有 10.4 10.5 10.4 10.5 10.1 10.2 10.3 由表 3 可決定每個相關信賴關係的考種,表 4 描述所有可能的種。 表 4 信賴關係考 信賴關係種 描述 低 /公眾 低信賴及公眾網的使用 中 /公眾 中信賴及公眾網的使用 高 /公眾 高信賴及公眾網的使用 低 /私有 低信賴及私有網的使用 中 /私有 中信賴及私有網的使用 高 /私有 高信賴及私有網的使用 第 12 節將使用這些考確認安全風險型式與別潛在保護措施區域。 網架構與應用程式 (照第 9 節 )上可用的資訊必要時可協助
30、完成此項任務。 12. 決定安全風險之型式 12 CNS 14929-5, X 6046-5 如同之前所反映的,現今大部分的組織都依賴 IT 系統與網支援其營運操作。進一步,在許多情況中,每個組織位置中之 IT 系統間的網接及與組織內、外的網接之使用,會有明確的營運需求。當一個接至其他網時,宜特別注意以確保該接組織沒有曝於額外的風險。如,這些風險可能是導因於接本身或另一端的網接。 當網接對營運因素是重要時,必須體認這些網接的使用可能引起額外的安全風險某些可能與確保堅持相關的法與法規有關。在本節所反應的風險型式是與未授權之存取資訊、未授權發送資訊、意程式碼 (malicious code)的引入
31、、否認接收 (receipt)或源 (origin)、以及阻絕服務 (denial of service)接相關。因此組織可能面下相關失的安全風險型式: (1) 資訊的機密性。 (2) 資訊的完整性。 (3) 資訊與服務的可用性。 (4) 承 (commitment)的可否認性。 (5) 交的可歸責性。 (6) 資訊的鑑別性。 (7) 資訊的可靠性。 是所有可能的安全風險型式將會應用於每個位置或每個組織。然而,需要別相關的安全風險型式,因此能夠別潛在保護措施區域 (最後選擇、設計、實作與維護保護措施 )。 宜蒐集與上述提及的安全風險型式 (合於安全風險分析與管審查的結果(1)相關的營運操作之資
32、訊,以及敏感性的適當考或涵蓋的資訊價值 (表示成潛在的營運影響 ),及相關的潛在威脅與脆弱性。有鑑於此,如果對於組織的營運操作可能有多於一個小型影響時,則宜考表 5。 要強調的是完成此任務,應該用網接之安全風險分析與管審查的結果。無已經處的審查詳細到何種等級,這些結果將使得注意集中於與上述安全風險的型式相關的潛在的營運影響、威脅的型式、脆弱性及關心的風險。 應該沿著表 5 的上方別之前由第 11 節決定之相關的信賴關係考,而考的影響在表格的左側。宜注意在適當交叉處之考這些是在以下第 13 節中所將介紹之潛在保護措施區域的考。 註 (1) 本系標準第 3 部及第 4 部提供風險分析與管作法的指引
33、。 13 CNS 14929-5, X 6046-5 表 5 安全風險型式與潛在保護措施區域的考 信賴關係考 風險型式 低 / 公眾 中 / 公眾 高 / 公眾 低 / 私有 中 / 私有 高 / 私有 機密性之失 13.2.2 13.2.3 13.2.6 13.4 13.5 13.7 13.8 13.9 13.12 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.7 13.8 13.9 13.12 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.3 13.3.4 13.3.5 13.4
34、 13.5 13.7 13.8 13.9 13.12 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.5 13.7 13.8 13.9 13.12 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.7 13.8 13.9 13.12 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.5 13.4 13.7 13.9 完整性之失 13.2.2 13.2.3 13.2.6 13.4 13.5 13.6 13.7 13.8 13.10 13.12 13.2
35、.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.6 13.7 13.8 13.10 13.12 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.3 13.3.4 13.3.5 13.4 13.5 13.6 13.7 13.8 13.10 13.12 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.5 13.6 13.7 13.8 13.10 13.12 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3
36、.4 13.4 13.6 13.7 13.8 13.10 13.12 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.5 13.4 13.6 13.7 13.10 14 CNS 14929-5, X 6046-5 可用性之失 13.2.2 13.2.3 13.2.6 13.4 13.5 13.6 13.7 13.8 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.6 13.7 13.8 13.13 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3
37、.3 13.3.4 13.3.5 13.4 13.5 13.6 13.7 13.8 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.5 13.6 13.7 13.8 13.12 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.6 13.7 13.8 13.12 13.13 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.5 13.4 13.6 13.7 13.12 13.13 可否認性之失 13.2.2 13.2.3 13.2.6 13
38、.4 13.5 13.7 13.11 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.7 13.11 13.13 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.3 13.3.4 13.3.5 13.4 13.5 13.7 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.5 13.7 13.11 13.13 13.2.2 13.2.3 13.2.4 13.2.6 13.3.2 13.3.4 13.4 13.7 1
39、3.11 13.13 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.3 13.3.4 13.3.5 13.4 13.7 13.13 可歸責性之失 13.2.2 13.2.6 13.2.4 13.6 13.7 13.8 13.12 13.2.2 13.2.6 13.2.4 13.3.4 13.4 13.6 13.7 13.8 13.12 13.2.2 13.2.6 13.3.3 13.3.4 13.4 13.6 13.7 13.8 13.12 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.3.3 13.3.4 13.4 13.6 1
40、3.7 13.8 13.12 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.3.3 13.4 13.6 13.7 13.12 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.3.3 13.3.4 13.4 13.7 15 CNS 14929-5, X 6046-5 鑑別性之失 13.2.2 13.2.6 13.2.4 13.3.3 13.5 13.6 13.8 13.10 13.12 13.2.2 13.2.6 13.2.4 13.3.3 13.3.4 13.4 13.5 13.6 13.8 13.10 13.12 13.2.2 13.
41、2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.6 13.7 13.8 13.10 13.12 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.4 13.5 13.6 13.8 13.10 13.12 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.3.2 13.4 13.5 13.6 13.10 13.12 13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.4 13.4 13.5 13.6 13.7 13.10 可靠性之失 13.2.2 13.2.6 13.2.4 13.3.3
42、13.5 13.6 13.8 13.12 13.13 13.2.2 13.2.6 13.2.4 13.3.3 13.4 13.5 13.6 13.7 13.8 13.12 13.13 13.2.2 13.2.6 13.3.2 13.3.3 13.3.4 13.4 13.5 13.6 13.7 13.8 13.12 13.13 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.4 13.5 13.6 13.8 13.12 13.13 13.2.2 13.2.3 13.2.4 13.2.5 13.2.6 13.3.2 13.5 13.6 13.7 13.12 13.13
43、13.2.2 13.2.3 13.2.5 13.2.6 13.3.2 13.3.4 13.5 13.6 13.7 13.12 13.13 宜注意到表格中指出當愈信賴 一個使用者時,則愈需要多的保護措施,原因有二: 第一,選擇許多在本系標準第 4 部中所描述的保護措施 (因此沒有在本標準中重複 )保護主機 IT 設施,這包含別、鑑別及輯存取控制。在較低的信賴情況下,允許 (特權 )組態需要確保只提供對資源的存取,該資源是由信賴模型與企圖存取的需要所組成。在低信賴情況下,別、鑑別、輯存取控制及保護措施(如同在本系標準第 4 部中所描述 )的強都需要高於在高信賴情況。如果這些無法被確保的話,則需要實
44、作相關額外的保護措施。 第二,通常會給予被信賴使用者存取重要 /關鍵的資訊及 /或功能性。這意謂,正如對於存取資源之價值與信任使用者的反應,都需要額外的保護措施。 13. 別適當之潛在保護措施區域 13.1 導 以使用第 12 節中所別的考為基礎,宜在第 13 節別潛在保護措施區 16 CNS 14929-5, X 6046-5 域。第 13.2 節至第 13.13 節介紹在使用上述第 12 節之後宜能選擇適當的潛在保護措施區域。宜注意的是特定的安全解決方案實際上可能包含個由第13.2 節至第 13.13 節所介紹的潛在保護措施區域。 宜注意的是無 IT 系統是否有任何的網接,有一些保護措施與
45、其相關。經由本系標準第 4 部的使用,宜選取這些保護措施。也宜注意的是本標準假設本系標準第 4 部所描述的基準保護措施是備妥於具有網接的組織系統中。 在相關網架構與應用程式的全景中,將需要徹底地審查此潛在保護措施區域的表,他將作為準備細部安全保護措施之選擇、設計、實作及維護之後續分配的基礎 (照第 15 節 )。 13.2 安全服務管 13.2.1 導 對於任何的網而言,關鍵的安全需求是由安全 的服務管活動支援,其將啟動並控制安全之實作與操作。宜舉這些 活動以確保組織中所有IT 之安全。有鑑於網結,管活動宜包含: (1) 關於網接安全的所有責任之定義,及負全體責任的安全管者之指定。 (2) 文
46、件化系統安全政策及隨同的文件化技術安全架構(2)。 (3) 文件化安全操作程序 (SecOPs)。 (4) 安全遵循性檢查的引導,以確保在要求的等級下維護安全。 (5) 在允許接到組織或社群之前,要堅持文件化接安全條件。 (6) 文件化網服務使用者安全條件。 (7) 安全事故處置方案。 (8) 文件化與測試營運持續 /災難原計畫。 宜注意的是本節以本系標準第 4 部所描述的觀點為基礎。本標準僅針對關於網接之使用是特別重要的主題有進一 步描述。對於在此沒有進一步提及的主題,者可查閱本系標準第 4 部。 註 (2) 如同技術架構設計過程的部分,宜產生並文件化技術安全架構設計 (保護措施規格 )(即
47、與技術架構設計是一致的,反之亦然 )。 13.2.2 安全操作程序 在系統安全政策的支援方面,宜發展與維護安全操作程序 (SecOPs)文件。其宜包含每日操作程序的細節,與安全以及負責 使用及維護管的人相關之細節。 13.2.3 安全遵循性檢查 為接網,宜對照下保護措施所規定而建 的綜合查檢表,進安全遵循性檢查: (1) 系統安全政策。 (2) 相關安全操作程序。 17 CNS 14929-5, X 6046-5 (3) 技術安全架構。 (4) 安全閘道服務存取 (安全 )政策。 (5) 營運持續計畫。 (6) 有關接的安全條件。 這些宜先於任何網 接的實況操作,先於主要版本之新 (關於重要的營運或網相關改變 ),否則每一次。 13.2.4 接之安全條件 除非對於接的安全條件是備妥的且合約上是同 意的,事實上組織正在接受網接之另一端的相關風險。 舉,組織 A 可能要求組織 B 能透過網接到組織 A 系統之前,組織B 必須維護並展示涉及該結之系統有特定等級的安全。如此一,組織A 能夠確保組織
